Der EU AI Act ist seit August 2024 in Kraft – doch die Umsetzung verläuft schleppender als geplant. Regulierungsbeobachter berichten auf X, dass EU-Gesetzgeber sich auf eine Verschiebung der zentralen Pflichten für Hochrisiko-KI-Systeme verständigt haben, wobei der überarbeitete Zeitplan nun bis 2027–2028 reicht. Als Begründung werden die Komplexität der Umsetzung sowie fehlende technische Durchführungsstandards genannt.
Für KMU bedeutet das: mehr Vorlaufzeit. Strategisch klug agieren heißt aber, diesen Spielraum für Vorbereitung zu nutzen – nicht für weiteres Abwarten.
Was bislang in Kraft ist – und was sich ändert
Gemäß unserem Verständnis der aktuellen Rechtslage bleibt folgendes unverändert in Kraft:
- Verbote (Art. 5, seit Februar 2025): Biometrische Echtzeitüberwachung öffentlicher Räume, Social Scoring und bestimmte Manipulationstechniken sind weiterhin verboten.
- GPAI-Pflichten (seit August 2025): Transparenzpflichten für Anbieter großer Allzweck-KI-Modelle gelten bereits – betreffen aber primär Modellentwickler wie die großen KI-Labore, nicht KMU als Betreiber.
- Hochrisiko-Betreiberpflichten (Anhang III): Diese waren ursprünglich ab August 2026 für die meisten Kategorien vorgesehen. Nach aktuellen Berichten ist dieser Zeitplan auf 2027–2028 verschoben.
Was das konkret bedeutet: Wer bislang auf die August-2026-Deadline hingearbeitet hat, bekommt Luft. Wer noch gar nicht begonnen hat, darf sich nicht in falscher Sicherheit wiegen – denn Konformitätsbewertungen, Risikomanagementsysteme und Dokumentation brauchen erheblichen Vorlauf.
Welche KMU von Hochrisiko-Pflichten betroffen sind
Viele mittelständische Unternehmen gehen davon aus, Hochrisiko-KI sei das Problem von Konzernen. Das stimmt nicht. Anhang III des AI Acts listet Systeme, die im KMU-Alltag durchaus vorkommen:
- KI in der Personalentscheidung – automatisiertes Screening von Bewerbungen, KI-gestützte Kandidatenbewertung
- KI im Finanzbereich – Kreditwürdigkeitsprüfungen, auch via SaaS-Tools kleiner Fintechs
- KI in kritischer Infrastruktur – Energie, Wasser, Verkehr (relevant für kommunale Betriebe und Versorger)
- KI-gestützte Bildungs- und Prüfungssysteme – automatisierte Bewertung, Zulassungsprozesse für Berufsschulen und Weiterbildungsanbieter
Ein KMU, das ein Cloud-Recruiting-Tool einsetzt, das Bewerbungen vorselektiert, ist mit hoher Wahrscheinlichkeit Betreiber eines Hochrisiko-Systems. Künftig müsste es Risikomanagementsysteme, technische Dokumentation, menschliche Überprüfungsprozesse und Konformitätsbewertungen vorhalten.
Wer hingegen ein lokales LLM für interne Aufgaben einsetzt – Wissensdatenbankabfragen, Dokumentenzusammenfassungen, interne Kommunikation, Entwurfsunterstützung – fällt in vielen Fällen nicht unter Anhang III: Kein automatisierter Bescheid, kein erheblicher Einfluss auf natürliche Personen bedeutet in der Regel kein Hochrisiko. Das ist ein struktureller regulatorischer Vorteil lokaler KI-Infrastruktur, der weit über Datenschutz hinausgeht.
Was parallel in Brüssel passiert: Digitaler Omnibus
Während der AI Act neu getaktet wird, bewegt sich ein weiteres Gesetzgebungspaket durch die EU-Institutionen: der Digitale Omnibus. Beobachterinnen mit EU-Regulierungshintergrund berichten auf X, dass dieses Paket auf formale Genehmigung zusteuert, ursprünglich aber mehr Spielraum für KI-Entwicklung im DSGVO-Rahmen schaffen sollte – etwa flexiblere Regeln für die Verarbeitung von Trainingsdaten. Gemäß unserem Verständnis wurden diese ursprünglichen Vorschläge im Gesetzgebungsprozess jedoch erheblich abgeschwächt.
Die praktische Konsequenz für KMU: Auf DSGVO-Erleichterungen beim KI-Einsatz sollte man nicht spekulieren. Der Datenschutz bleibt die härteste Leitplanke – unabhängig davon, was mit dem Omnibus-Paket letztendlich beschlossen wird.
Warum Cloud-KI strukturell problematisch bleibt
Die AI Act Fristverlängerung ändert nichts an der DSGVO. Cloud-LLM-Anbieter aus den USA oder anderen Nicht-EU-Regionen unterliegen dem Recht ihrer Herkunftsländer, das Behörden Datenzugriff ermöglichen kann. Angemessenheitsbeschlüsse können politisch widerrufen werden; Standardvertragsklauseln schützen nicht vor extraterritorialen Zugriffsansprüchen.
Lokale LLMs – betrieben auf eigener Hardware im eigenen Netzwerk – eliminieren diese Risiken strukturell: kein Datentransfer, kein Drittanbieter, keine Abhängigkeit von bilateralen Datenschutzabkommen. Was technische Datensouveränität in der Praxis bedeutet, erläutern wir auf /data-sovereignty.html.
Was lokale KI-Systeme für Ihr Unternehmen konkret leisten können, zeigen wir auf /local-ai.html.
Vier Schritte, die KMU jetzt angehen sollten
Die verschobenen Fristen sind kein Ruhekissen – sie sind ein Zeitfenster. Vier konkrete Maßnahmen, die heute beginnen sollten:
1. KI-Inventar erstellen
Welche KI-Systeme sind im Einsatz? Welche Entscheidungen treffen sie – und mit welchen Auswirkungen auf Mitarbeitende oder Kunden? Ein ehrliches Inventar ist die Grundlage jeder Compliance-Strategie und hilft unabhängig von Regulierungsdruck, Risiken zu erkennen.
2. Hochrisiko-Screening durchführen
Fällt eines der eingesetzten Systeme unter Anhang III? Wenn ja: Konformitätsbewertungen, Risikomanagementsysteme und Dokumentationspflichten brauchen Vorlauf. Wer heute beginnt, ist 2027 nicht unter Zeitdruck.
3. Auf lokale Infrastruktur umstellen
Wer KI-Systeme lokal betreibt, hat bei Betreiberpflichten strukturelle Vorteile: volle Kontrolle über Systemkonfiguration, Protokollierung und Audit-Pfade. Cloud-Abhängigkeiten machen die Erfüllung von Dokumentationspflichten erheblich schwieriger und teurer.
4. Interne Dokumentation beginnen
Auch außerhalb des Hochrisiko-Bereichs empfehlen wir KMU: Heute dokumentieren, welches Modell wo zu welchem Zweck und mit welchen Daten läuft. In 18 Monaten ist diese Information weit schwieriger zu rekonstruieren als heute zu erstellen.
Freshlab unterstützt KMU beim Aufbau lokaler LLM-Infrastruktur, die regulatorisch robust und intern skalierbar ist. Unser Pilotprojekt liefert in sechs Wochen eine funktionale lokale KI-Umgebung – ohne Cloud, ohne Vendor-Lock-in.
Fazit: Mehr Zeit – aber kein Alibi für Abwarten
Die Verschiebung der EU AI Act Hochrisiko-Fristen auf 2027–2028 gibt KMU mehr Spielraum. Sie verändert weder die DSGVO-Anforderungen noch die strategische Logik hinter lokaler, souveräner KI-Infrastruktur. Wer diese Zeit nutzt, um Inventar aufzubauen, Hochrisiko zu screenen und lokale Systeme einzuführen, wird 2027 deutlich besser positioniert sein als alle, die weiter warten.
Sprechen Sie mit uns: Wir helfen Ihnen einzuschätzen, ob und wie der EU AI Act Ihr Unternehmen betrifft – und welche nächsten Schritte sinnvoll sind: /contact.html.